预签名上传能被恶意覆盖重传的问题确实一直存在，但敢用 starts-with 预签名还公开的确实有点搞 😂 只要前缀一样随便传，分分钟传一堆小垃圾上去

我的签名是同时限制尺寸、content-type 、文件完整路径（包括文件名），这么一看只有一个文件名能稍微限制一下这个问题

@xiaoming1992 尺寸 还不是前端报给你的 只有 eq $key 有点用 但是你指定$key 123.png 其实他可以是个 mp4 文件，而且 123.png 类型的 mp4 文件丢给播放器不影响不放的，播放器取前 n 字节判断元数据的，反正 oss 随便绕

@youloge #12 限制文件名能限制你举例的 apk ，能防止用户意外下载到危险应用（好像也没什么危险的，现在手机安装个 apk 各种提醒各种限制，一般也不会莫名其妙安装上未知应用）。 至于你说的图片/视频问题，貌似只能通过 oss 限制跨域和#6 的方法，限制资源使用范围，来减轻影响了。

你这个本来就是上传策略写的有问题，正常应该就是写死具体上传路径比如前端请求的 abc.jpg ，你给他返回的就是只能上传到 images/2025/唯一标识-abc.jpg 这个路径，而不是通用前缀。至于他传上来的 abc.jpg 到底是图片还是视频文件本来就不重要。